A Microsoft Entra ID (előzetes verzió) használata gyorsítótár-hitelesítéshez
Az Azure Cache for Redis két módszert kínál a gyorsítótárpéldány hitelesítésére:
Bár a hozzáférési kulcs hitelesítése egyszerű, számos kihívással jár a biztonság és a jelszókezelés terén. Ezzel szemben ebben a cikkben megtudhatja, hogyan használható a Microsoft Entra-jogkivonat a gyorsítótár-hitelesítéshez.
Az Azure Cache for Redis jelszó nélküli hitelesítési mechanizmust kínál a Microsoft Entra ID-val (előzetes verzió) való integrációval. Ez az integráció a nyílt forráskód Redisben támogatott hozzáférés-vezérlési listákon (ACL-eken) keresztül biztosított szerepköralapú hozzáférés-vezérlési funkciókat is magában foglalja.
Az ACL-integráció használatához az ügyfélalkalmazásnak fel kell vennie egy Microsoft Entra-entitás identitását, például a szolgáltatásnevet vagy a felügyelt identitást, és csatlakoznia kell a gyorsítótárhoz. Ebből a cikkből megtudhatja, hogyan csatlakozhat a szolgáltatásnévvel vagy a felügyelt identitással a gyorsítótárhoz, és hogyan adhat meg előre meghatározott engedélyeket a kapcsolathoz használt Microsoft Entra-összetevő alapján.
A rendelkezésre állás hatóköre
Tier | Alap, Normál, Prémium | Enterprise, Enterprise Flash |
---|---|---|
Elérhetőség | Igen (előzetes verzió) | Nem |
Előfeltételek és korlátozások
- A Microsoft Entra ID-alapú hitelesítés az SSL-kapcsolatok és a TLS 1.2-s vagy újabb verziói esetében támogatott.
- A Microsoft Entra ID-alapú hitelesítés nem támogatott a Cloud Servicestől függő Azure Cache for Redis-példányokon.
- A Microsoft Entra ID-alapú hitelesítés nem támogatott az Azure Cache for Redis Enterprise nagyvállalati szintjeiben.
- Néhány Redis-parancs le van tiltva. A letiltott parancsok teljes listájáért tekintse meg az Azure Cache for Redisben nem támogatott Redis-parancsokat.
Fontos
Miután létrejött egy kapcsolat a Microsoft Entra-jogkivonat használatával, az ügyfélalkalmazásoknak rendszeres időközönként frissítenie kell a Microsoft Entra-jogkivonatot a lejárat előtt, és el kell küldenie egy AUTH
parancsot a Redis-kiszolgálónak a kapcsolatok megszakadásának elkerülése érdekében. További információ: A Redis-ügyfél konfigurálása a Microsoft Entra-azonosító használatára.
A Microsoft Entra ID-hitelesítés engedélyezése a gyorsítótárban
Az Azure Portalon válassza ki az Azure Cache for Redis-példányt, ahol a Microsoft Entra tokenalapú hitelesítést szeretné konfigurálni.
Válassza a Hitelesítés lehetőséget az Erőforrás menüben.
A munkaablakban válassza az (ELŐZETES VERZIÓ) A Microsoft Entra-hitelesítés engedélyezése lehetőséget.
Válassza a Microsoft Entra-hitelesítés engedélyezése lehetőséget, és adja meg egy érvényes felhasználó nevét. A beírt felhasználó alapértelmezés szerint automatikusan adattulajdonosi hozzáférési szabályzatot kap, amikor a Mentés lehetőséget választja. A gyorsítótárpéldányhoz való csatlakozáshoz megadhat egy felügyelt identitást vagy szolgáltatásnevet is.
Megjelenik egy előugró párbeszédpanel, amely megkérdezi, hogy frissíteni szeretné-e a konfigurációt, és tájékoztatja, hogy az több percet vesz igénybe. Válassza az Igen lehetőséget.
Fontos
Az engedélyezési művelet befejeződése után a gyorsítótárpéldány csomópontjai újraindulnak az új konfiguráció betöltéséhez. Javasoljuk, hogy ezt a műveletet a karbantartási időszak alatt vagy a csúcsidőszakon kívül végezze el. A művelet akár 30 percet is igénybe vehet.
A Microsoft Entra ID és az Azure CLI használatával kapcsolatos információkért tekintse meg az identitás hivatkozási lapjait.
Adatelérési konfiguráció használata a gyorsítótárral
Ha redis-adattulajdonos helyett egyéni hozzáférési szabályzatot szeretne használni, nyissa meg az Erőforrás menü Adathozzáférési konfigurációját . További információ: Egyéni adatelérési szabályzat konfigurálása az alkalmazáshoz.
Az Azure Portalon válassza ki azt az Azure Cache for Redis-példányt, amelyhez hozzá szeretné adni az adatelérési konfigurációt.
Válassza az (ELŐZETES VERZIÓ) Adatelérési konfigurációt az Erőforrás menüből.
Válassza a Hozzáadás lehetőséget, és válassza az Új Redis-felhasználó lehetőséget.
Az Access Policy lapon válassza ki a táblában elérhető szabályzatok egyikét: Adattulajdonos, Adatszolgáltató vagy Adatolvasó. Ezután válassza a Tovább:Redis-felhasználók lehetőséget.
Válassza ki a felhasználót, a szolgáltatásnevet vagy a felügyelt identitást annak meghatározásához, hogyan rendelhet hozzáférést az Azure Cache for Redis-példányhoz. Ha a Felhasználó vagy szolgáltatásnév lehetőséget választja, és hozzá szeretne adni egy felhasználót, először engedélyeznie kell a Microsoft Entra-hitelesítést.
Ezután válassza a Tagok kijelölése és a Kiválasztás lehetőséget. Ezután válassza a Tovább: Véleményezés + Hozzárendelés lehetőséget.
A párbeszédpanelen megjelenik egy előugró ablak, amely értesíti Önt arról, hogy a frissítés végleges, és rövid kapcsolati pontot okozhat. Válassza az Igen lehetőséget.
Fontos
Az engedélyezési művelet befejeződése után a gyorsítótárpéldány csomópontjai újraindulnak az új konfiguráció betöltéséhez. Javasoljuk, hogy ezt a műveletet a karbantartási időszak alatt vagy a csúcsidőszakon kívül végezze el. A művelet akár 30 percet is igénybe vehet.
A Redis-ügyfél konfigurálása a Microsoft Entra-azonosító használatára
Mivel a Legtöbb Azure Cache for Redis-ügyfél feltételezi, hogy jelszó és hozzáférési kulcs van használatban a hitelesítéshez, valószínűleg frissítenie kell az ügyfél-munkafolyamatot, hogy támogassa a Hitelesítést a Microsoft Entra-azonosító használatával. Ebben a szakaszban megtudhatja, hogyan konfigurálhatja az ügyfélalkalmazásokat úgy, hogy Microsoft Entra-jogkivonat használatával csatlakozzanak az Azure Cache for Redishez.
Microsoft Entra-ügyfél munkafolyamata
Konfigurálja az ügyfélalkalmazást egy Microsoft Entra-jogkivonat hatókörhöz való beszerzéséhez,
https://redis.azure.com/.default
vagyacca5fbb-b7e4-4009-81f1-37e38fd66d78/.default
a Microsoft Authentication Library (MSAL) használatával.Frissítse a Redis kapcsolati logikáját a következők
User
ésPassword
a következők használatára:User
= A felügyelt identitás vagy szolgáltatásnév objektumazonosítójaPassword
= Az MSAL használatával beszerzett Microsoft Entra-jogkivonat
Győződjön meg arról, hogy az ügyfél automatikusan végrehajt egy Redis AUTH-parancsot , mielőtt a Microsoft Entra-jogkivonat lejár a következő használatával:
User
= A felügyelt identitás vagy szolgáltatásnév objektumazonosítójaPassword
= A Microsoft Entra-jogkivonat rendszeresen frissül
Ügyféloldali kódtár támogatása
A kódtár Microsoft.Azure.StackExchangeRedis
egy olyan bővítmény StackExchange.Redis
, amely lehetővé teszi a Microsoft Entra ID használatával a Redis-ügyfélalkalmazások és az Azure Cache for Redis közötti kapcsolatok hitelesítését. A bővítmény kezeli a hitelesítési jogkivonatot, beleértve a jogkivonatok proaktív frissítését, mielőtt lejárnának, hogy több napon keresztül fenntartsák az állandó Redis-kapcsolatokat.
Ez a kódminta bemutatja, hogyan használható a Microsoft.Azure.StackExchangeRedis
NuGet-csomag az Azure Cache for Redis-példányhoz való csatlakozáshoz a Microsoft Entra ID használatával.
Az alábbi táblázat kódmintákra mutató hivatkozásokat tartalmaz, amelyek bemutatják, hogyan csatlakozhat az Azure Cache for Redis-példányhoz Egy Microsoft Entra-token használatával. Az ügyfélkódtárak számos különböző nyelven érhetők el.
Ügyfélkódtár | Nyelv | Hivatkozás mintakódra |
---|---|---|
StackExchange.Redis | .NET | StackExchange.Redis-kódminta |
redis-py | Python | redis-py kódminta |
Jedis | Java | Jedis-kódminta |
Lettuce | Java | Salátakódminta |
Redisson | Java | Redisson-kódminta |
ioredis | Node.js | ioredis-kódminta |
node-redis | Node.js | node-redis-kódminta |
Ajánlott eljárások a Microsoft Entra-hitelesítéshez
Konfiguráljon privát hivatkozásokat vagy tűzfalszabályokat a gyorsítótár szolgáltatásmegtagadási támadásokkal szembeni védelméhez.
A kapcsolat megszakadásának elkerülése érdekében győződjön meg arról, hogy az ügyfélalkalmazás legalább 3 perccel a jogkivonat lejárta előtt küld egy új Microsoft Entra-jogkivonatot.
Ha rendszeresen meghívja a Redis-kiszolgáló
AUTH
parancsát, érdemes lehet egy jittert hozzáadni, hogy aAUTH
parancsok átmenetiek legyenek, és a Redis-kiszolgáló egyszerre nem kap sokAUTH
parancsot.